Инфо Чек-лист технических задач по порталу

UbIvItS,

Почему же эта функция не встроена в форумный двиг.. Разрабы его не продумали это, что по мойму маловероятно, скорее всего оно выключено.

 

насколько помню, есть. Но бодаться на такие темы бесполезно

 

UbIvItS,

Тоесть нет необходимости по какой то причине это включать ?

 

редактирование без меток имеет БОНУС..

1. админы/модеры могут скрывать время и место своей активности.
====================
можно, конечно, заявлять, мол-де ГДЕ СПРАВЕДЛИВОСТЬ и ОТКУДА ТАКИЕ ДВОЙНЫЕ СТАНДАРТЫ??? но я лично на такие глупостя время/силы предпочитаю не тратить ==>> у каждого свой огород и свои посулы/резоны. А коль же, кто реально неправ, -- житуха в основе своей КРАЙНЕ ЮМОРНА И СПРАВЕДЛИВА, тч всё да вся ставит на свои места (дай токма срок).

 

kero, помойму он сейчас приатачен к теме. если не так то скинь мне его в лс. А ошибки если не выводятся можно заглянуть в консоль браузера и во вкладку запросов.
Indy_, я помню все и ничего не забыл. делаю в той последовательности в которой хочу. времени сейчас нормально нет. функциональность я не отключал, она есть но только для модеров. нужно будет покопаться в коде и включить историю для всех. уверен, никто не заинтересован в фальсификации ваших сообщений. это паранойя.

 

Alexey,

Нет, это не паранойя. Вы не подумали что означает многократная утечка базы васма ?
В акки левых людей заходила толпа людей. Я тоже заходил в пару, редактировал посты, восстановил к примеру некоторые акки когда утёк акк Грейта и удалил некоторые сообщения одного вредного человека..
Есть есчо причины, не буду их описывать. Даже принципиально это полное отсутствие защиты от подобного.

Почему Аквила удалил ресурс знаете ?
- Один известный человек начал рандомом писать из под левых акков.
По мойму при поднятии этого ресурса следовало бы эту ситуацию подробно рассмотреть и реализовать защиту. Вы же до сих пор сомневаетесь в этой необходимости и уверяете меня что никто в чём то не заинтересован..

 

взлом акков == несколько иному случаю..

1. либо дырки в скриптах.
2. либо заведомо слабые пароли, кои легко ломаются по словарю.

 

UbIvItS,

Но так ведь причина взлома не существенна, но она вероятна. Может это потекла база, может её намеренно слили, может модеры слили или быть может это хак, всё это возможно. Отсутствие защиты от этого после серии таких утечек даже не знаю как назвать.. может намеренное ограничение по рецидиву, кто же знает.

 

Indy_, при правильных настройках сливы бд чрез сеть могут носить лишь крайне минорный характер..

1. устанавливаем время и скорость коннекта для юзерЬА к бд. например, время == 4с, а скорость == 10кбит. Даже при удачном сикуль инжекте едва удастся унести инфу даже на один акк.
2. ограничение времени работы скриптов.
3. скрипты, получающие данные напрямую от внешнего юзвуря, должны работать в режиме ограниченных прав.
4. любая попытка скана (опрос портов, посылка случайных данных, попытка доступа к сис директориям..) должна лечиться временной блокировкой ипа.
5. детекты инжектов разного рода тоже должны приводить к временной блокировке атакующих ипов.
6. скрипты - ловушки могут применяться, если требуется немножко задержать хакЭра и пощупать откедова он могет быть.
7. заведомо опасные ипы могут полностью блокироваться иль режут им осетра на скорость.
==============
хммм.. это не все методЫ. но даже части из них вполне достаточно, дабы злостные Х@kЭрЪЫ не утянули бд и/иль не нанесли фатальный ущерб директориям.

 

UbIvItS,

То что вы описали - механизмы защиты и они второстепенны. Если бы была фундаментальная защита в виде настроек скрипта, то не нужно было бы вдаваться в подробности этих механизмов защиты. А есчо не следует забывать что это всё скрипт и куча ошибок в нём может отменить и предложенные методы защиты как и все другие возможные. Защита так не строится, она залаживается в архитектуру, а не фиксится налету по мере поступления багов.

 

эти механизмы говорят нам простую ВЕЩЬ: если база сливается, значит её сливают конкретные люди с рут доступом а руту получить неким зЪлОоБЪным }{¥K€ⓇAMЪ из внешки физ. НЕВОЗМОЖНО

 

UbIvItS,

Как же невозможно, если даже км нэйтив сетевые драйвера уязвимы, что можно говорить про скрипты.

К примеру редактирование работает в течении некоторого времени, 5 минут. В течении этого времени можно получить доступ и изменить данные. Потом эта функция будет блокирована таймером и данные криптованы. Так должно быть реализовано редактирование постов. Что бы из базы их невозможно было достать.

 

даже если скрипт дырявый, (к примеру) 20с его работы Погоды не сделают + к рутовым скриптам (при нормальной настройке) прямой доступ из внешки получить нельзя.

редактирование не имеет постоянного коннекта с сервачом.. там коонект устанавливается при исполнение конкретных операций..

1. начать редактирование.
2. сохранить.
3. завершить сессию.
==================
на каждую операцию едва ль 10с понадобится. А время меж операциями мб любое, хотя (конечно) по тем иль иным соображениям оно мб урезано.

нет, для каждого поста должна генериться хэш-сумма и посылаться на мыло/мобилу юзверя. Тогда == Да, подделать пост даже с рутой будет крайне проблематично.

 

UbIvItS,

Спасибо за обьяснение, но я в скриптах не шарю, если бы он был ядерным..

 

я, вообще, ни в чём не шарю, потому и живой

 

UbIvItS,

В самом деле я не понимаю тех деталей скриптов. Думаю вы должны знать мою специфику и интересы. Я могу исходить лишь из общих соображений в обсуждении на эту тему. То что вы написали про тайминг - это нужно знать как работает скрипт что бы понять; я это не знаю.

 

По особым заявкам:
1) Просматривать историю изменения любых форумных постов включается в настройках
2) Просматривать логи действий модеров касательно вас здесь
Если вы обычный пользователь то врятли стоит тратить на это время. Модеры толковые люди и если что-то делают то скорее всего так надо. Надеюсь это не станет поводом провокаций)

пс фичи доступны всем кроме новичков (от 30 постов и 30 дней реги)

 

Alexey,

Отличная фича, спасибо!

Вот только есть сомнение на счёт самого лога. Его может редактировать модер ?